计算机审计详细概述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第1章 计算机审计概述,本章一览,审计取证的三种传统模式,计算机审计的特征和概念,审计信息系统,构建模型进行数据分析,1,1.1审计取证的模式,手 工,信息化,帐套式,数据式,账项基础审计,账套基础审计,数据基础审计,制度基础审计,账套系统基础审计,数据式系统基础审计模式,风险基础审计,2,数据式审计的流程是：首先根据原始的底层数据进行查询、多维挖掘分析，把握审计对象的趋势、异常、错误，从而把握总体情况，锁定重点目标，层层延伸分析，筛选问题线索，多方面延伸取证。,3,1.2计算机审计的特征和概念,1.2.1计算机审计发展的三个方面,第一个层面，依赖对实用工具、应用软件的使用,第二个层面，侧重技术方面层面，开始真正意义上的计算机审计探索,第三个层面，以系统论为指导，计算机审计方式的形成,4,信息系统审计的基本方法,绕过,通（穿）过 计算机审计,利用,5,绕过计算机审计将信息系统视为“黑箱”,通（穿）过 计算机审计,检测数据法,平行模拟法,6,122 计算机审计的特征,1以系统论为指导,2审计取证的切入点是信息系统和底层电子数据,3 创建审计中间表，构建审计信息系统,4 构建模型进行数据分析,7,123 计算机审计的概念,计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，并运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而收集审计证据，实现审计目标的审计方式。,8,计算机数据审计与计算机信息系统审计异同,计算机数据审计,计算机信息系统,区别,1 对象,2 侧重,3技术方法,联系,1共生性,2功能性,9,13 计算机审计的基本框架,131 计算机审计的对象,计算机审计是审计在信息化环境下发展的一种新方式，但审计的本质并没有发生改变是对受托纤济责任履行情况进行独立的监督。,计算机审计的具体内容包括两个组成部分，一是管理经济活动和进行财政财务,收支,核算,的信息系统，二是信息系统处理的财政财务收支及有关经济,活动,的数据。,10,对信息系统的审计分为,信息系统生命周期审计,现行系统审计 两个独立的单元,11,信息系统生命周期审计,12,132 计算机审计的作业模式,1现场单机审计模式,13,2现场网络审计模式,14,3联网审计模式,15,各作业模式适用范围：,现场单机审计方式灵活方便，适用于被审计单位的规模小，数据量小的情况。,现场网络审计适用于被审计单位规模大、数据量大的情况，也便于人员信息共享，有利于对审计进行信息化管理。,远程网上审计 ：发展的方向。,16,133 计算机审计的基本方式,计算机审计方式的一个变化审计的,切入点,变了。审计人员开展计算机审计时，是从分析凭证数据人手的，对这种没有进行过组合的数据进行,查询、多维、挖掘分析，找出趋势、异常和错误，把握总体、锁定重点、精确延伸，从对凭证数据的分析中筛选出问题，必要时再核对账簿或报表。,审计人员还常常根据自己审计认定后的凭证数据,独立生成账簿和报表,，与被审计单位提供的资料相对照，从中得出结论。,17,计算机审计的基本方式,手工状态下：检查被审计单位的报表、账簿、凭证及相关资料,审计的切入点：报表账簿凭证,计算机状态下：报表、账簿都是由记账凭证而来,审计的切入点：从记账凭证入手，审定记账凭证后重新生成账簿、报表等资料并核对,手工与计算机状态下财务数据的生成变化,18,1.3.4计算机审计的技术方法,COBIT（Control Objectives for Information and Related Technology），即“信息及相关技术控制目标” ，有时也被称作“信息化全生命周期管理框架”,19,域（4个）,处理过程（34个）,控制活动,人 员,基 础 设 施,信 息,应 用 系 统,有效性,效率性,保密性,完整性,可用性,符合性,可靠性,业务信息标准维度,IT资源维度,IT,流,程,维,度,COBIT 4.1模型,20,COBIT与COSO、SOX的关系模型,控制环境,风险评估,控制活动,信息与沟通,监控,302,条款,404条款,规划和组织,获取和实施,交付和支持,监控和评估,COSO,五要素,COBIT,域,IT中的控制与萨班斯法案中有关财务报表及披露的要求有关。,满足COSO框架五要素的要求是构建一个整合的控制程序所必需的。,IT控制应该考虑到整个治理框架的要求，以保证信息的质量以及完整。,21,AO,又称现场审计实施系统，是英文Auditor office的简称，它是一个用于现场环境对电子数据进行审计的操作平台。按照设计方案，它将安装在审计人员的计算机上，被带入审计现场使用。软件中包含了项目管理、数据采集、审计分析、审计底稿等审计作业必要的工具，提供统一的电子作业环境，就像是审计师随身的办公室。,详见附件,22,计算机审计的基本方法,1.系统开发的审计,2.应用程序的审计,（1）检测数据法 （2）程序编码比较法 （3）受控处理法 （4）受控再处理法 （5）平行模拟法 （6）嵌入审计程序法 （7）程序追踪法,3.数据文件的审计,（1）利用审计软件辅助审计 （2）利用系统的子模块辅助审计 （3）利用数据库管理系统和实用程序审计数据文件,23,应用程序的审计 （1）检测数据法,检测数据法是指审计人员把一批预先设计好的检测数据，利用被审程序加以处理，并把处理的结果与预期的结果作比较，以确定被审程序的控制与处理功能是否恰当有效的一种方法。,检测数据法一般适用于下列三种情况：,被审系统的关键控制建立在计算机程序中；被审系统的可见审计线索有缺陷，难以由输入直接跟踪到输出；被审系统的程序较多，用检测数据法比直接用手工方法进行审查更经济、效率更高。,24,（2）程序编码比较法,程序编码比较法是指比较两个独立保管的被审程序版本，以确定被审程序是否经过了改变。,审计人员要用由审计部门自己保管的，经以前审查其处理和控制功能恰当的被审程序副本与被审单位现在使用的应用程序进行比较，可发现任何程序的改动，并评估这些改变带来的后果。,25,（3）受控处理法,受控处理法是指审计人员通过被审程序对实际业务的处理进行监控，查明被审程序的处理和控制功能是否恰当有效的方法。,采用这种方法，审计人员首先对输入的数据进行查验，并建立审计控制，然后亲自处理或监督处理这些数据，将处理的结果与预期结果加以比较分析，判别被审程序的处理与控制功能能否按设计要求起作用。,26,（4）受控再处理法,受控再处理法是指在被审单位正常业务处理以外的时间里，由审计人员亲自进行或在审计人员的监督下，把某一批处理过的业务进行再处理，比较两次处理的结果，以确定被审程序有无被非法篡改，被审程序的处理和控制功能是否恰当有效。运用这种方法的前提是以前对此程序进行过审查，并证实它原来的处理和控制功能是恰当有效的。,27,（5）平行模拟法,平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序，用这种程序处理当期的实际数据，把处理的结果与被审程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠的一种方法。,28,（6）嵌入审计程序法,嵌入审计程序法是指在被审系统的设计和开发阶段，在被审的应用程序中嵌入为执行特定的审计功能而审计的程序段，这些程序段可以用来收集审计人员感兴趣的资料，并建立一个审计控制文件，用来存储这些资料，审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。,29,（7）程序追踪法,程序追踪法是一种对给定的业务，跟踪被审程序处理步骤的审查技术，一般可由追踪软件来完成，也可利用某些高级语言或跟踪指令跟踪被审程序的处理。,30,数据文件的审计 （1）利用审计软件辅助审计,利用审计软件辅助审计数据文件一般用于下列几种审计工作：按审计人员的要求检查数据。测试及执行计算，审计人员可运用审计软件测试数据文件中有关数据计算的正确性，并进行分析，以评估被审系统中相应数据的正确性。比较两个不同数据文件中的相应数据。审计软件可用于比较两个不同数据文件内的相应记录，以确定数据的一致性。选择并打印审计样本。审计软件可采用随机抽样或判断抽样等方法，从被审的数据文件中选择所需的样本。汇总或重新组织数据，并执行分析工作。,31,（2）利用系统的子模块辅助审计,由于完整的计算机系统一般都建有查询、对账、复核等子模块，审计人员在对被审系统的数据文件进行审计时，也可利用这些子模块完成一部分审计工作。在利用被审系统中的子模块进行审计之前，审计人员必须对它们的处理和控制功能进行审查。只有经过审查证实其处理和控制功能恰当可靠的，审计人员才能利用它们审查系统的数据文件。,32,（3）利用数据库管理系统和实用程序审计数据文件。,Microsoft SQL Server,Oracle,Sybase,数据库查询分析,33,1.3.5计算机审计的质量控制模型,9.1 P169,过程流程任务,34,137 计算机审计的主体,政府审计,外部,注册会计师审计,内部,35,审计主体通常是指审计关系中的审计人，即接受审计授权人(或委托人)的授权(委托)而成为实施审计的主体。,计算机审计的主体（执行主体）是专门的审计机构和专业人员。,专门机构是以审计为专门工作的单位，包括国家审计机关、内部审计机构、社会审计组织。,专业人员是上述专职机构的审计人员，这是计算机审计中最活跃、最积极的要素。,36,1.3.6计算机审计的操作规则,计算机审计操作规则,审计中间表创建和使用管理规则,数据分析报告撰写规则,数字化应用规则,信息系统审汁操作规则,网上审计操作规则等。,37,14 计算机审计的流程7步骤,第步，开展审前调查,第二步，采集数据,第三步，对采集的数据进行转换、清理和验证，并撰写转换、清理和验证工作报告。,第四步，创建审计中间表,第五步，构建系统和类别分析模型,第六步，针对突破口，建立个体分析模型,第七步。对发现的问题线索逐一延伸落实，取得审计证据。,38,39,本章思考题,1计算机审计的特征,2计算机审计的切入方式,3计算机审计的流程,40,